AWS는 보안을 가장 중요하게 생각합니다. 이것이 실제로 어떻게 적용되는지 궁금하시다면 오늘 AWS의 CEO인 Adam Selipsky와의 대화에 참여하세요.
이 인터뷰의 일부는 오디오 형식으로도 제공됩니다. 아래에서 즐겨 찾는 플레이어 아이콘을 클릭하여 팟캐스트를 듣고 리더들과의 대화 AWS 팟캐스트를 구독하여 에피소드를 놓치지 마세요.
AWS 엔터프라이즈 전략 책임자인 Clarke Rodgers와의 이번 인터뷰에서 Adam은 AWS CEO 사무실의 비하인드 스토리를 살펴봅니다. 전사적 보안 문화를 장려하는 방법, 비즈니스 리더와 보안 리더 간의 건전한 커뮤니케이션 관행을 강화하는 방법, CEO가 위에서 보안 이니셔티브를 지원할 수 있는 방법에 대한 그의 생각을 공유하는 모습을 시청하세요.
보안 리더십은 CEO로부터 시작됩니다.
Clarke Rodgers(00:05):
보안 리더십은 위에서부터 시작해야 합니다. 최고 경영진이 비즈니스 전략을 논의할 때 보안은 논의 대상에 포함되어야 할 뿐만 아니라 모든 사람이 가장 중요하게 신경쓰는 분야여야 합니다.
저는 Clark Rodgers입니다. AWS의 엔터프라이즈 전략 담당 이사이고, Executive Insights의 진행자로서 AWS 보안 리더들과 대화를 나누려고 합니다.
오늘 제 게스트는 따로 소개가 필요 없는 AWS CEO인 Adam Selipsky입니다. AWS의 보안 문화가 처음 확립된 과정, CEO와 CISO 간의 의사소통 방식, Adam이 위에서 보안 이니셔티브를 지원하는 방법에 대해 논의하는 내용을 들어보세요. 함께 해주셔서 감사합니다.
Clarke Rodgers(00:46):
Amazon Web Services CEO, Adam Selipsky 오늘 나와 주셔서 감사합니다.
Adam Selipsky(00:50):
출연하게 되어 기쁩니다.
Clarke Rodgers(00:51):
그럼 조금 과거로 거슬러 올라가 볼까요. 2005년의 일인데요. 당신은 Jeff Bezos의 지원을 받아 "AWS"라는 작은 실험을 시작하고 계속 진행했습니다. 이처럼 매우 초기적인 단계에서 고객과 보안을 논의할 때 어떻게 접근하셨나요? 그리고 그 단계에서 클라우드가 무엇인지, 분산 컴퓨팅이 무엇인지 묻는 고객이 많다는 것을 알 수 있었습니다. 없었을 수도 있지만 있었다면 그 당시 보안에 관련된 논의가 어떻게 이루어졌나요?
Adam Selipsky(01:22)
이는 매우 새로운 개념이었고, 아시는 대로 “어딘가에” 워크로드를 넘겨주고 실행되도록 두는 것은 많은 사람들에게 직관적이지 않았습니다. 물론 그것이 클라우드라고 불리는 이유입니다. 클라우드는 저 너머 어딘가에 있는 거죠. 그래서 당연히 많은 교육이 필요했는데, 몇 가지 기본 사항을 설명하고 나니 사람들이 정말 이해하기 시작했습니다. 그 중 가장 큰 부분은 AWS가 없었기 때문에 아마존이 이 모든 것을 정말 잘해야 한다는 것이었습니다.
Clarke Rodgers(01:49):
맞습니다.
Adam Selipsky(01:50)
따라서 아마존은 확장성과 가용성이 뛰어나고 비용 효율적이며 운영 가용성과 보안성이 뛰어난 인프라를 운영하는 데 정말 능숙해야 했습니다. 그리고 우리는 아마존 내부의 모든 전문 지식을 가지고 이 모든 것을 구축했습니다. 솔직히 당시에 AWS에서 인프라를 운영하고 구축한 회사들에서 찾아보기 힘든 규모였습니다. 가장 큰 전제 중 하나는 획일적이고 힘든 작업이 많다는 것이었습니다. 때때로 우리는 이를 인프라의 “거름”이라고 불렀습니다. 그리고 대부분의 기업은 이러한 인프라를 잘 운영할 필요가 없습니다.
자동차를 판매하고, 영화를 스트리밍하고, 약물을 발견하는 일을 하는데 왜 대규모 인프라를 잘 운영하고, 가용성을 유지하고, 보안을 유지하고, 저렴한 비용으로 발전하고, 혁신적이어야 할까요? 물론 이것이 바로 AWS의 사업이었습니다.
Clarke Rodgers(02:50):
그렇군요.
Adam Selipsky(02:51)
그래서 우리가 이 모든 것을 정말 잘하는 것이 이치에 맞았습니다. 그래서 그 주요 요소 중 하나로 보안에 대한 우리의 접근 방식을 설명해 드리고 싶습니다. 보안은 AWS에서 무조건적으로 가장 중요하게 생각하는 것이었습니다.
17년 반이 지난 지금도 AWS에서는 여전히 업무 제로입니다. 이것은 여전히 우리가 하는 가장 중요한 일입니다. 보안 요구 사항이나 보안 관련 기회가 있다면 계속해서 다른 우선 순위를 제쳐두고 살펴 볼 것입니다.”
저는 이 점을 매우 분명하게 강조하고 싶습니다. 왜냐하면 그것이 우리가 하는 그 어떤 일보다 더 중요하기 때문입니다. 사실, 우리는 처음부터 이를 매우 분명히 이해하고 있었습니다. 우리는 AWS가 사라질 가능성은 거의 없다고 말하곤 했지만, 잘못된 보안 문제는 특히 초기에는 회사를 사라지게 만들 수 있는 몇 안 되는 문제 중 하나였습니다. 우리는 그 사실을 항상 심각하게 받아들였습니다.
Clarke Rodgers(03:44):
그렇다면 그 점이 제품 팀이 SQS, S3, EC2와 같은 새로운 서비스를 개발하는 데 있어서 어떻게 작용했나요?
AWS에서의 보안 소유권 정의
Adam Selipsky(03:54):
가능한 한 가장 뛰어난 최고의 보안을 보장하는 방법은 매우 잘 정의된 소유권 모델을 확립하는 것입니다. 정말... 매트릭스라고 불러도 될 정도로요. 그래서 우리는 고도로 전문적이며 세계 최고 수준을 자랑하는 대규모 보안 팀을 보유하고 있습니다. 우리에겐 오로지 보안만 생각하는 수천 명의 직원들이 있습니다. 그렇게 하는 회사는 많지 않아요... 대부분의 회사한테 경제적으로 타당성이 떨어지겠지요.
따라서 보안 팀, 즉 중앙 집중식 AWS 보안 팀은 많은 기술 역량을 구축하고 감사, 상담 및 전략 추진을 지원하는 많은 전문가를 보유하고 있습니다. 동시에 EC2, S3, DynamoDB, Connect, Amazon Bedrock 등 모든 서비스 팀이 보안을 100% 소유합니다. 보안 팀에 아웃소싱하는 것이 아니고요.
따라서 서비스 중 하나에 문제가 발생할 경우 해당 서비스 GM이 문제 해결을 완전히 담당하고, 완전한 소유 의식과 주도권을 가집니다. 물론 보안 팀과 완전한 협력 관계를 맺으면서요. 그리고 이렇게 보안이 서비스 팀 문화에 포함되면 실제로도 서비스에 이를 구축할 수 있다고 생각합니다. 이것은 매우 중요합니다. 우리는 첫날부터 이를 서비스에 적용하며 사후적으로 그것을 추구하지 않습니다. 물론 우리는 항상 보안을 개선하고 있지만, 개발을 시작하는 순간부터 모든 서비스에서 수행하는 모든 작업에 기본적으로 엔터프라이즈급의 견고한 보안을 적용합니다.
Clarke Rodgers(05:43):
그리고 해당 서비스 소유자가 자신이 만드는 것을 가장 잘 알고 있기 때문에 이것이 가장 타당한 방식입니다. 그들은 특정 상황에 어떤 위험 요인이 있는지 등을 알고 있습니다.
Adam Selipsky(05:52)
어떤 보안 문제도 중앙 보안 팀이 제기하지 않습니다. 담당 팀이 일을 하다 보니 제기하게 되는 겁니다. 따라서 해당하는 담당 팀이 가장 먼저 문제를 발견하고 해결하는 것이 좋습니다. 또한 AWS 보안 팀은 탄탄한 역량과 더불어 만전에 만전을 기하는 철저한 방식으로 일하고 있습니다.
과거와 현재의 보안 대화
Clarke Rodgers(06:09):
물론입니다. 처음 출시한 지 17년 반이 지났습니다. 보안이, 그러니까 제가 보안이라고 말하는 건 위험과 규정 준수에 대한 이야기를 포함하는 건데요. 이러한 요소들이 고객과의 상호작용에서 어떻게 발전했나요?
Adam Selipsky(06:26)
보안 관련 논의는 “이게 정말 안전할 수 있을까?”라는 질문에서 시작되었다고 생각합니다. 물론 우리는 이 문제를 해결했습니다. 우리는 이 단계를 빠르게 넘어섰고, Netflix가 그렇게 한다고 발표했을 때 중요한 순간이 있었다고 생각합니다. 그들은 매우 유능하고 어떤 기능이든 구축할 수 있지만 그렇게 하지 않기로 결정했습니다. 그들이 본질적으로 데이터 센터 사업에서 벗어나 모든 인프라를 AWS에 배치하겠다고 발표했을 때, 이는 암묵적으로 모든 보안과 모든 가용성을 AWS에 맡기겠다는 의미였고, 실제로 많은 사람들이 여기에 주목했다고 생각합니다. 이로 인해 대화의 분위기가 바뀌었습니다.
미국 정부 정보 기관의 주요 구성원을 비롯한 많은 정부 기관이 AWS가 자체 데이터 센터보다 더 나은 보안을 제공한다고 공개적으로 밝혔습니다. 다시 말씀드리지만 대기업, 은행, 제약 회사 등을 포함한 많은 사람들이 이 사실을 알게 되었습니다. 그래서 여러 대형 고객들이 “훌륭한 보안 모델이네요. 이런 기능은 AWS에 맡길게요.”라고 말했죠. 다른 많은 회사들이 주목한 것 같아요.
Clarke Rodgers(07:35):
작년에 시리즈 시즌 2에서 저는 AWS CISO와 인터뷰할 기회를 가졌고 보안 메커니즘, 대규모 조직에서 무엇이 효과적인지, 무엇이 효과적이지 않은지에 대해 이야기했습니다. 그가 언급한 가장 효과적인 메커니즘 중 하나는 AWS의 주간 CEO/CISO 회의였습니다. 물론 그는 이것이 나머지 조직의 분위기를 조성한다고 말했습니다. 이를 통해 CEO는 보안 영역에서 어떤 일이 벌어지고 있는지 알 수 있습니다. 이를 통해 CISO는 CEO에게 중요한 사항이 무엇인지 파악할 수 있습니다.
그래서 제가 여러분께 드리는 질문은, 그 회의에 대한 여러분의 관점을 듣고 싶다는 것입니다. 보안 전문가가 아닌, 비즈니스 리더로서의 관점이요. 이 회의가 여러분에게 어떻게 도움이 되나요?
CEO로서 보안 문화를 어떻게 강화하고 계신가요?
Adam Selipsky(08:20):
이 경우 우리의 여러 가지 보안 메커니즘 중 하나는 저와 제 최고 정보 보안 책임자인 Chris Betz가 공동으로 여는 이 주간 회의입니다. 그리고 말씀하셨듯이 이러한 회의는 문화적인 신호가 됩니다. 매주 회의를 열어요, 진짜로요. 그리고 그것을 우선적으로 생각합니다. 내용은 놀라울 정도로 간단한데요. 지난 주에 가장 많이 제기된 보안 문제 세 가지를 살펴봅니다.
우리는 항상 회의를 하는데, 항상 두세 가지 정도를 다룹니다. 어떤 때는 다른 때보다 더 “흥미로울” 수도 있지만, 우리는 절대 그렇게 하지 않습니다. 우리는 항상 상위 항목을 살펴보고 매우 심층적으로 검사합니다. 그래서, 이건 프레젠테이션이 아니에요. 매우 아마존스러운 방식인데, 보안 문제에 대한 서면 요약 문서가 있습니다. 회의 전에 이 문서를 면밀히 검토하고 문서에 모든 포괄적인 내용, 당사의 현재 상황과 해당 보안 문제에 대한 정확한 다음 단계를 포함시킵니다. 그리고 해당 서비스 팀의 직원들, 물론 보안 팀, 직접 관련된 모든 사람들이 모두 회의에 참여합니다.
이 회의는 확실히 교육 효과가 있습니다. 회의는 편안한 분위기일 때도 있지만 솔직히 그렇지 않을 때도 있습니다. 회의를 매우 진지하게 생각하고 있고, 해결해야 할 문제, 달라져야 할 행동, 우리가 원하는 결과를 얻기 위해 기술적으로 변화해야 하는 것들이 있을 경우 회의에서 이를 매우 개방적인 방식으로 다루기 때문입니다. 그래서 저는 이것이 우리가 이 문제에 대해 매우 진지하게 생각하고 있다는 문화적 신호를 보내는 것이라고 생각합니다. 따라서 우리가 기술적으로 발전하는 데 도움이 됩니다. 그리고 실제로 아마존에서는 보안이 여전히 업무 제로라는 점을 강화하는 것이 문화적으로 중요하다고 생각합니다.
책임 공유가 보안 문화를 촉진하는 방법
Clarke Rodgers(10:13):
여기서 약간 초점을 바꿔서 사업부 리더들 이야기를 해 보면요. AWS 내에서 이들이 운영하는 특정 서비스나 다른 비즈니스의 보안에 대해 어떻게 책임을 묻나요?
Adam Selipsky(10:24)
글쎄요, 일반적으로 그들은 스스로 책임을 집니다. 이것이 바로 우리가 만든 보안 중심 문화입니다. 타인이 책임을 강제하는 것보다 훨씬 더 좋은 해답이지요. 보안을 중심으로 구축한 문화와 명확한 소유권 모델을 확립한 덕분에 보안이 부가적으로 덧붙인 것이 아닌 일상 업무의 일부로 자리잡게 되었다고 생각합니다. 물론 그들이 참석하는 주간 보안 회의와 같은 메커니즘을 통해 그 주에 문제가 발생한 팀이 있다면 스스로 책임을 지도록 하는 모멘텀을 만들 수 있는 다양한 힘이 생긴다고 생각합니다. 훨씬 더 쉽고, 훨씬 더 좋은 방법이지요.
중앙 집중식 보안 팀을 보유하는 것이 중요합니다. 이들은 보안의 모든 것을 다루는 진정한 전문가입니다. 그들은 우리 팀 전체의 모범 사례를 살펴보게 됩니다. 보안에 대해 다른 조치를 취해야 한다고 생각되는 팀이 있을 경우 기술 리더든 비즈니스 리더든 해당 팀의 리더와 대화할 수 있도록 도와줄 수 있는 사람들입니다. 그래서 저는 이러한 여러 메커니즘이 모두 합쳐져 팀에 소유권을 부여하는 것이라고 생각합니다.
드문 경우지만 팀에 문제가 있는 경우 해당 팀이 문제를 이해하고 해당 팀이 문제를 해결하기를 기대한다는 것이 즉시 분명해집니다. 물론 도움이 필요한 누구에게서든 도움을 받게 될 것입니다. 그러나 그들은 그것을 소유하고 있습니다.
미국 정부 정보 기관의 주요 구성원을 비롯한 많은 정부 기관이 AWS가 자체 데이터 센터보다 더 나은 보안을 제공한다고 공개적으로 밝혔습니다. 다시 말씀드리지만 대기업, 은행, 제약 회사 등을 포함한 많은 사람들이 이 사실을 알게 되었습니다. 그래서 여러 대형 고객들이 “훌륭한 보안 모델이네요. 이런 기능은 AWS에 맡길게요.”라고 말했죠. 다른 많은 회사들이 주목한 것 같아요.
Clarke Rodgers(11:53):
비즈니스 리더가 보안, 개발 중인 제품의 기능, P&L에 대한 소유권을 갖는 것이 정말 중요한 포인트라고 생각합니다. 그렇죠? 많은 고객들이 이러한 책임을 각각 맡고 있으며 이로 인해 때때로 문제가 발생하기도 하지만 단일 소유권 경로를 갖는 것은 정말 멋진 일입니다.
Adam, 바쁜 와중에 저를 위해 시간을 내주셔서 정말 감사합니다.
Adam Selipsky(12:16):
천만에요. 감사합니다.
리더 소개
Adam Selipsky
Amazon Web Services CEO
Adam Selipsky는 세계에서 가장 포괄적이고 광범위하게 도입된 클라우드인 Amazon Web Services(AWS)의 CEO입니다. 그는 아마존의 글로벌 지속가능성을 총괄하면서 아마존의 재생 에너지 채택 확대 및 추진 노력, 탄소 배출 제로로 가는 여정 및 기타 전사적 이니셔티브를 감독하고 있습니다. AWS 마케팅, 영업, 지원 부문을 초창기부터 이끌었던 Selipsky는 AWS가 스타트업에서 시작해 수십억 달러 규모의 비즈니스로 성장하는 데 있어 중요한 역할을 담당했습니다. 2016년 Selipsky는 회사를 떠나 데이터 시각화의 선구자인 Tableau Software의 사장 겸 CEO가 되었고, 그곳에서 당시 소프트웨어 업계에서 세 번째로 큰 인수합병이었던 Salesforce 인수를 진행한 후 2021년 AWS로 복귀했습니다. Selipsky는 세계경제포럼 정보, 기술 및 통신 ICT 거버너 커뮤니티의 의장이며, 하버드 비즈니스 스쿨 학장 자문위원회 회원이고, Seattle Sounders 축구팀의 소수 구단주이기도 합니다.
Clarke Rodgers
AWS Enterprise Strategist
AWS Enterprise Strategy Director인 Clarke는 심층적인 보안 전문 지식을 바탕으로 경영진을 도와 클라우드로 보안을 혁신하는 방법을 모색하고 이들과 협력하여 올바른 엔터프라이즈 솔루션을 찾는 데 열정을 쏟고 있습니다. Clarke는 2016년에 AWS에 입사했지만 팀에 합류하기 훨씬 전부터 AWS 보안의 장점을 경험했는데, 다국적 생명보험 회사의 CISO로 근무하면서 전략 부서에서 진행하는 AWS 마이그레이션을 감독했기 때문입니다.
다음 단계 수행
